Stripe est « favorable » à la fraude amicale

 (gingerlime.com)
1 points par GN⁺ 22 시간 전 | 1 commentaires | Partager sur WhatsApp
  • La friendly fraud désigne le fait qu’un client conteste un paiement après avoir reçu le produit, et c’est un domaine où Stripe, qui dispose de nombreux signaux de paiement, devrait mieux la bloquer
  • Un client de Ciglue a ouvert un litige après une première commande avec preuve de livraison DHL ; il a expliqué qu’il s’agissait d’une erreur bancaire, mais ne l’a en réalité jamais corrigée
  • Le vendeur a fourni la preuve de livraison, les échanges avec le client et ses politiques, mais la banque a donné raison au client, entraînant la perte de l’argent, du produit, des frais d’expédition et des frais de litige
  • Même des captures d’écran montrant le client se vantant de sa méthode ont été transmises à Stripe, mais Stripe a répondu qu’il n’utilisait pas cela comme signal de fraude entre commerçants
  • La réponse de Stripe se limite aux règles Radar du compte marchand, de sorte que le vendeur suivant doit subir à nouveau dès le départ les abus répétés du même client

Vue d’ensemble de l’affaire et issue du litige

  • La friendly fraud est un problème où le client nie le paiement après avoir reçu le produit, et l’analyse part de l’idée qu’un grand acteur comme Stripe, qui dispose de nombreux signaux de paiement, devrait pouvoir mieux y répondre
  • Le client a acheté à deux reprises des produits adhésifs pour cigares de Ciglue ; la première commande a été expédiée par DHL et marquée comme livrée avec preuve de livraison
  • Le client n’a demandé ni remboursement ni réexpédition, mais a ouvert un litige ; la banque a ensuite expliqué qu’elle avait par erreur regroupé ce paiement avec de véritables transactions frauduleuses aux Philippines
  • Le client a dit qu’il contacterait sa banque et qu’il paierait à nouveau via PayPal, mais en réalité il n’a pas fait corriger l’erreur auprès de la banque et a affirmé ne pas avoir reçu le produit
  • La banque a donné raison au client, et le vendeur a perdu l’argent, le produit, les frais d’expédition et les frais de litige ; la preuve de livraison, les échanges avec le client et les politiques du site web n’ont pas changé l’issue
  • Avant même l’arrivée du premier litige, le même client a passé une deuxième commande avec une livraison non suivie, puis a aussi ouvert un deuxième litige quelques jours après le premier
  • Après l’issue favorable du premier litige pour le client, celui-ci s’est vanté de sa méthode par e-mail, et le vendeur a transmis la capture d’écran à Stripe

Réponse de Stripe et ses limites

  • Le vendeur a envoyé les captures d’écran à Stripe en demandant si cette preuve pouvait être correctement signalée, que ce soit à la banque, à un réseau de signalement de fraude, ou au moins en interne chez Stripe
  • Il ne s’agissait pas d’une demande visant à renverser un litige déjà clos ou à récupérer l’argent, mais de l’espoir qu’une preuve claire d’abus de chargeback puisse être utilisée de manière significative d’une façon ou d’une autre
  • Stripe a répondu qu’il ne transformait pas la preuve d’abus de chargeback reçue d’un vendeur en signal de fraude entre commerçants, et ne l’utilisait pas pour prendre des mesures susceptibles d’affecter d’autres vendeurs à propos de la carte, de l’e-mail ou d’autres détails du client
  • Il n’est certes pas souhaitable qu’une seule plainte d’un vendeur en colère suffise à faire bloquer automatiquement quelqu’un dans tout le système de paiement Stripe, mais il existe un grand écart entre un « blocage global » et un simple « nous avons bien reçu la capture, examinez Radar »
  • Stripe présente Radar comme reposant sur de nombreux paiements et signaux, une meilleure détection de la fraude et des effets de réseau fondés sur le machine learning, mais les preuves réelles d’abus de chargeback par un client ne deviennent pas pour autant un signal réseau
  • La solution recommandée consiste à utiliser des règles Radar pour empêcher ce client de racheter ; le vendeur pourrait devoir passer à une offre supérieure et payer Stripe davantage pour utiliser ces règles
  • Cette transaction paraissait normale, a passé les contrôles et l’adresse réelle correspondait ; il est donc difficile de filtrer à la caisse une situation où « le client reçoit le produit puis ment à sa banque »
  • Les petits vendeurs n’ont quasiment aucun pouvoir de négociation dans les litiges, la banque décide, et pendant que Stripe renvoie vers la banque, le vendeur perd l’argent, le produit, les frais et le temps de traitement
  • Si de nouvelles preuves apparaissent plus tard, il peut déjà être trop tard pour les soumettre, et même si le même client recommence ailleurs, le vendeur suivant peut à nouveau en faire les frais
  • Il n’y a rien d’« amical » là-dedans, et l’absence d’action de Stripe aboutit en pratique à une structure favorable aux fraudeurs

À lire aussi

1 commentaires

 
GN⁺ 22 시간 전
Avis sur Hacker News

  • Je suis Josh, responsable de Radar, le produit de prévention de la fraude chez Stripe. Ce type d’abus frauduleux est vraiment frustrant, et ce n’est pas l’expérience que Stripe veut offrir à ses utilisateurs
    Le point essentiel mentionné ici par plusieurs personnes est légitime. La question n’est pas seulement de savoir s’il est possible d’annuler un litige après coup, mais aussi si les preuves d’abus de chargeback peuvent servir à protéger le commerçant suivant
    Cela dit, je ne souhaite pas non plus d’un monde où le signalement d’un seul commerçant bloque automatiquement un acheteur chez tous les marchands Stripe. Il existe aussi des litiges légitimes, des comptes consommateurs peuvent être compromis, et les faux positifs d’un blocage excessif peuvent nuire à de vrais acheteurs
    Mais il y a clairement un vide entre « bloquer automatiquement cette personne partout » et « merci pour la capture d’écran », et c’est cette partie que nous voulons résoudre
    Avec la forte hausse de la fraude amicale (friendly fraud), nous étendons Radar d’un simple produit de prévention de la fraude sur les transactions à un produit qui bloque la fraude et les abus sur tout le cycle de vie client, de l’inscription au démarrage d’un essai, etc.
    Nous travaillons actuellement à identifier les récidivistes de l’abus de chargeback à l’échelle du réseau Stripe pour les montrer aux commerçants avant la transaction et les intégrer dans leur prise de décision, à attribuer un score de risque d’abus cumulé aux comptes clients eux-mêmes, ainsi qu’à construire des défenses qui, lorsqu’un cas de fraude amicale se produit, aident à mieux constituer les preuves avec Smart Disputes afin de gagner le litige
    Si vous avez des retours sur Radar, vous pouvez les envoyer à jackerman at stripe dot com

  • Je gère une activité SaaS et je vois ça de temps en temps. Quand un chargeback arrive, en principe il faut bloquer complètement ce client dans la base de données
    Si vous bloquez la carte, l’adresse e-mail et l’empreinte d’accès, cela peut réduire considérablement les ennuis lorsqu’ils tentent de se réinscrire ou de racheter le produit pour vous infliger la même galère

    • Les abuseurs contournent facilement ce type de blocage. Les personnes qui abusent systématiquement constituent un petit groupe
    • Un utilisateur avancé peut facilement changer les trois identifiants que sont la carte, l’e-mail et l’empreinte. Je me demande ce que signifie exactement « empreinte d’accès »
      J’ai vu toutes sortes d’empreintes de navigateur pour suivre les utilisateurs, mais je ne sais pas si vous parlez d’un genre de prise d’empreinte utilisée seulement quand c’est nécessaire
    • Il suffit d’imposer 3D Secure, et la responsabilité est transférée à la banque du client. S’ils veulent vraiment le produit, la plupart n’hésiteront pas beaucoup à ouvrir l’app bancaire sur leur téléphone pour confirmer la transaction
    • Si vous mettez en place une telle politique, mieux vaut répondre rapidement aux demandes légitimes du support client
    • Si c’est une app iOS, vous pouvez aussi utiliser DeviceCheck. Uber s’en sert pour bloquer des comptes à grande échelle

  • Je suis surpris que Stripe ait formulé aussi clairement qu’ils « ne transforment pas les preuves d’abus de chargeback chez un commerçant en signal de fraude croisé pour d’autres commerçants, et n’utilisent pas non plus la carte, l’e-mail ou d’autres informations du client pour prendre des mesures vis-à-vis d’autres commerçants »
    C’est bien que Stripe communique réellement ce genre de détails. Mais on comprend aussi pourquoi tant de grandes entreprises se contentent de réponses opaques du type « merci pour le signalement, nous le traiterons de manière appropriée ». Quand on dit la vérité, les gens se fâchent encore plus

    • Non. Une réponse ambiguë m’aurait mis bien plus en colère. J’étais toujours en colère qu’ils ne prennent aucune mesure
      Il a fallu plusieurs allers-retours avant d’obtenir une réponse claire, mais au final j’ai eu une réponse claire, et d’après mon expérience le support Stripe reste excellent et communique bien
    • Non. Une réponse vague est bien plus agaçante. Simplement, dans ce cas, il n’y a rien à écrire dessus

  • Le client vous a trompé, puis la banque du client l’a fait aussi. Ce n’est pas Stripe qui a fait cela. Je ne vois pas pourquoi Stripe est blâmé dans le titre et dans le billet
    Bien sûr, Stripe pourrait sans doute faire plus même sans Radar, mais si Stripe faisait métier de bloquer un client sur l’ensemble de son réseau à partir de la seule plainte d’un vendeur, ce serait risqué. Une telle approche poserait clairement beaucoup de problèmes

    • Exact. Mais Stripe n’a rien fait pour empêcher que le commerçant suivant tombe dans le même piège. Ils avaient toutes les preuves et les ont ignorées
      C’était le point essentiel que je voulais exprimer dans le billet de blog. Bien sûr, il ne serait pas juste non plus que les commerçants puissent bloquer les consommateurs trop facilement. Mais il devrait clairement exister un juste milieu
      Stripe a dit très explicitement qu’ils ne faisaient rien de ces signalements. C’est simplement ignoré
    • Non, Stripe a aussi une part de responsabilité. Dire qu’un chargeback est décidé par la banque du client est une idée reçue courante. En réalité, après plusieurs allers-retours dans la procédure, c’est finalement le réseau de cartes qui tranche
      J’ai travaillé plusieurs années du côté émetteur des cartes et j’ai vu à de nombreuses reprises les dossiers soumis par des commerçants utilisant Stripe. Je connais des cas où Stripe a refusé de contester alors que, selon les règles du réseau, le dossier aurait clairement dû être gagné
      Stripe semble avoir conclu qu’il n’était pas rentable de se battre contre la plupart des chargebacks. Sans doute parce qu’ils peuvent en répercuter le coût sur les commerçants et qu’ils pensent que ceux-ci n’iront pas ailleurs
    • Personne ne voudrait d’un « système où un seul commerçant contrarié peut bloquer quelqu’un dans l’ensemble du système de paiement Stripe ». Mais il y a un écart assez important entre « bloquer automatiquement cette personne partout » et « merci pour les captures d’écran. Regardez du côté de Radar », et c’est ce point qui est frustrant

  • J’ai déjà géré des millions de dollars de chargebacks avec Stripe. Nous vendions des billets, faciles à revendre, et les clients étaient des touristes venant du monde entier pour assister à des spectacles
    Stripe Radar n’était pas un bon produit. Il arrivait souvent qu’il attribue des scores de risque de 1 ou 2 sur 100 à des transactions extrêmement suspectes. Je n’ai pas de formation en machine learning, mais il semblait y avoir un problème méthodologique, comme si l’outil fonctionnait avec une ligne de moins quelque part. Malheureusement, Stripe ne semble pas avoir beaucoup d’incitation à s’en soucier

  • Je suis désormais assez convaincu que Stripe est au moins, dans son esprit, une sorte de PayPal 2.0
    Ils ferment les yeux sur la fraude sur leur plateforme, verrouillent des créateurs adultes ou des vendeurs une fois l’argent encaissé, et sont partout sans être particulièrement appréciés
    J’apprécie que Stripe ait bouleversé la fintech et permis à davantage de personnes d’y accéder de manière programmable, mais pour ces raisons je me retrouve souvent à dire aux gens qui demandent conseil sur les paiements aujourd’hui : « évitez Stripe »

    • C’est la nature même de ce secteur. Les acteurs historiques accumulent au fil du temps des contraintes qui les rendent lents, lourds et désagréables à traiter
      Les nouveaux entrants prennent des parts de marché en se différenciant par leur agilité et par le fait qu’il est agréable de travailler avec eux
      Avec le temps, ils doivent eux aussi gérer de plus en plus la surveillance réglementaire, la fraude, la charge opérationnelle et les pratiques d’évitement des responsabilités
      Et alors le nouvel entrant devient l’acteur historique, puis on recommence depuis le début
    • Qui recommanderais-tu comme alternative ?

  • J’ai subi un chargeback frauduleux. La personne affirmait que l’achat n’avait pas été autorisé, mais elle s’est présentée en personne au cours. Le pire, c’est qu’elle a payé avec Link, donc Stripe l’a activement vérifiée via l’authentification à deux facteurs
    Quelqu’un peut-il expliquer pourquoi Stripe, ou ses concurrents, ne proposent pas un réglage du type « refuser les transactions d’une carte ayant déposé plus de x chargebacks contre des commerçants cette année » ?

    • Ce genre de règle semble un peu délicat. La carte de quelqu’un a peut-être réellement été volée
      Ce qui est frustrant, c’est que Stripe vante ses règles Radar basées sur le machine learning, etc., tout en étant incapable d’y injecter des données réellement utiles
      Le support Stripe a vu des e-mails où le client se vantait de m’avoir escroqué, et a totalement reconnu qu’il s’agissait clairement de fraude amicale, mais n’a rien fait de cette information
    • Je ne sais pas si c’est pour cette raison, mais si on me demandait de concevoir un tel système, je m’inquiéterais beaucoup du risque que cela relève du Fair Credit Reporting Act en tant que rapport sur les consommateurs
      Je ne voudrais pas non plus du feuilleton médiatique inévitable. Quelque chose du genre : « Je ne suis qu’une pauvre grand-mère innocente, j’ai simplement cru une publicité Facebook, et Stripe m’a bannie de la moitié des boutiques en ligne parce que je me suis fait arnaquer ! »
    • Vous dites que la personne prétendait que l’achat n’avait pas été autorisé et qu’elle s’est présentée au cours, mais même si quelqu’un est bien venu au cours, comment savez-vous que c’était le titulaire de la carte de crédit utilisée ?
    • Leur modèle économique consiste à laisser passer autant de transactions « valides » que possible, pas à servir les « clients ». Ce sont des prestataires de services de paiement

  • C’est juste une fraude. La « fraude amicale », c’est quand le client lance un chargeback de manière accidentelle ou de bonne foi, par exemple parce qu’il ne reconnaît pas l’intitulé sur son relevé

    • Ne pas reconnaître un intitulé sur son relevé n’est pas de la fraude en soi. Pour qu’il y ait fraude, il faut une intention, ou au minimum une négligence grave du type « si je ne m’en souviens pas, je conteste tout sans vraiment essayer de m’en souvenir »
      L’expression « simple fraude » est déjà utilisée pour le cas où le criminel c utilise la carte du titulaire a, qui n’en sait rien, chez le commerçant b, qui n’en sait rien non plus. Je me demande donc pourquoi on s’opposerait à l’expression « fraude amicale »
    • C’est précisément le sujet. Vous pouvez déposer une plainte pénale, et vous gagneriez aussi au civil
    • Oui. Et Stripe pourrait bien mieux empêcher cela, mais ne le fait pas

  • Bon article. Le point essentiel était que Stripe a admis ne pas utiliser les preuves de fraude amicale après litige comme signal Radar inter-commerçants
    En ajoutant à cela le fait que le client s’en est littéralement vanté après avoir gagné le chargeback, cela montre à quel point le système est défavorable aux vendeurs indépendants

  • Stripe enregistre manifestement des données liées à la fraude amicale. Ils implémentent au moins Visa Compelling Evidence 3.0 https://support.stripe.com/questions/how-does-stripe-support...
    Comme on n’a pas de capture d’écran du message envoyé par le support Stripe, j’ai l’impression qu’ils ont peut-être simplement essayé de faire retomber la pression avec une réponse prudente, vague et juridiquement inoffensive, et que cela s’est transformé en billet de blog furieux

    • Je peux partager textuellement la réponse de Stripe. Il y a eu de nombreux échanges. Voici un extrait d’un e-mail récent, qui semble assez clairement montrer qu’ils n’utilisent pas les preuves que j’ai fournies
      « Nous allons consigner ce retour et le transmettre à l’équipe. Votre remarque sur la détection des abus après transaction est pertinente. Stripe dispose de solides mécanismes de détection de fraude au niveau réseau, mais il semble y avoir une lacune dans l’utilisation de preuves confirmées de fraude fournies par les commerçants pour protéger l’écosystème marchand au sens large. Ce type de retour de la part de commerçants disposant de preuves directes est précieux pour améliorer le système. »
    • Si « ils ont juste essayé de faire retomber la pression avec une réponse prudente, vague et juridiquement inoffensive » est exact, alors ce n’est pas vraiment mieux, car cela signifie qu’ignorer complètement le problème est en soi trompeur
    • Ce lien explique que des transactions avec vous sans contestation au cours des 4 à 12 mois précédents peuvent prouver que la transaction actuellement contestée était en réalité légitime
      Mais le cas de l’article concerne quelqu’un qui n’a effectué qu’un achat contesté dans un délai de 1 à 2 semaines
    • Mon seul grief concernant le fait que Stripe enregistre des données liées à la fraude amicale, c’est qu’il est impossible de supprimer les informations de carte d’un abonnement en cours que l’on n’a pas l’intention de renouveler et qui est déjà configuré comme non renouvelé sur la page de paiement du service
    • Quel est le fond du problème ? Vous pensez vraiment que ce qui compte, c’est ce que Stripe a dit ? Je me demande quelle réponse n’aurait pas suffi à justifier un billet de blog furieux